Троян Emotet набирает обороты

Троян Emotet набирает обороты
92cfdaf80eb70cc76873b6913dc787ee.jpg

Как мы писали ранее, одним из наиболее активных троянов 2020 года является вредоносное ПО Emotet. Так, уже Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) и Межгосударственный центр обмена информацией и анализа (MS-ISAC) предупредили об увеличении количества фишинговых рассылок, направленных на распространение данного вредоносного ПО.
Коварство ПО Emotet заключается в его модульной архитектуре с динамическими ссылками, позволяющей постоянно обновлять и развивать свой функционал. Кроме того, троян легко распространяется горизонтально внутри сетевого окружения, используя легитимные порты 80, 8080, 443, 445 и др.
При попадании на компьютер жертвы троян пытается подобрать учетную запись, записать данные на сетевые диски (протокол SMB), соединиться с командным центром и источниками обновлений (порты 80, 8080, 443, 445). Троян Emotet часто используется для доставки жертве вирусов вымогателей и инфостиллеров.
Еще одним из вредоносных действий является использование легитимного домена компании для рассылки с него фишинговых сообщений. Что, в свою очередь, вызывает блокирование легитимного домена. Проверить, не задействован ли ваш домен или электронная почта в кампаниях вредоноса можно на сервисе итальянской компании TG Soft «Have I Been Emotet»: https://www.haveibeenemotet.com/ .
Рекомендации
Эксперты Angara Professional Assistance предлагают следующие действия по защите:
  • Фильтрация почтовых сообщений: блокировать .dll, .exe и другое активное содержимое, .zip и другие архивы, не доступные для сканирования антивирусным движком.
  • Применять механизмы анализа e-mail вложений в Sandbox решениях.
  • Применять политики минимизации привилегий для пользователей.
  • Сегментировать внутреннюю сеть и применять фильтрацию сетевых соединений, включая сигнатурную аналитику (IPS) и поведенческие механизмы.
  • Применять двухфакторную аутентификацию в домене.
  • Использовать фильтрацию Web-активности пользователей, сканировать скачиваемое содержимое.
  • Производить качественный мониторинг событий и обработку инцидентов ИБ.
Компания Angara Professional Assistance предлагает MSSP-сервисы по всем указанным направлениям защиты:
  • Фильтрация доступа в Интернет (WEB ACCESS SECURITY AS A SERVICE).
  • Защита от сложных угроз и реагирование на сложные угрозы (EDR и ANTIAPT), включая защиту почтового трафика.
  • Центр киберустойчивости ACRC (Angara Cyber Resilience Center), включая:
Инновационную платформу мониторинга и аналитики киберугроз.
Применение алгоритмов User and Entity Behavior Analytics.
Взаимосвязанный комплекс людей, процессов и программно-аппаратных средств.
Применение лучших мировых практик в построении процессов управления инцидентами: SANS, MITRE, ITIL, ISO.
Своевременное и эффективное выявление и нейтрализацию внешних и внутренних угроз информационной безопасности.


Сигнатуры
Сигнатуры для детектирования активности Emotet:
  • Snort сигнатуры:
    • alert tcp $HOME_NET any -> $EXTERNAL_NET 443 (msg:"[CIS] Emotet C2 Traffic Using Form Data to Send Passwords"; content:"POST"; http_method; content:"Content-Type|3a 20|multipart/form-data|3b 20|boundary="; http_header; fast_pattern; content:"Content-Disposition|3a 20|form-data|3b 20|name=|22|"; http_client_body; content:!"------WebKitFormBoundary"; http_client_body; content:!"Cookie|3a|"; pcre:"/:?(chrome|firefox|safari|opera|ie|edge) passwords/i"; reference:url,cofense.com/flash-bulletin-emotet-epoch-1-changes-c2-communication/; sid:1; rev:2;)
    • alert tcp any any -> any $HTTP_PORTS (msg:"EMOTET:HTTP URI GET contains '/wp-content/###/'"; sid:00000000; rev:1; flow:established,to_server; content:"/wp-content/"; http_uri; content:"/"; http_uri; distance:0; within:4; content:"GET"; nocase; http_method; urilen:<17; classtype:http-uri; content:"Connection|3a 20|Keep-Alive|0d 0a|"; http_header; metadata:service http;)
    • alert tcp any any -> any $HTTP_PORTS (msg:"EMOTET:HTTP URI GET contains '/wp-admin/###/'"; sid:00000000; rev:1; flow:established,to_server; content:"/wp-admin/"; http_uri; content:"/"; http_uri; distance:0; within:4; content:"GET"; nocase; http_method; urilen:<15; content:"Connection|3a 20|Keep-Alive|0d 0a|"; http_header; classtype:http-uri; metadata:service http;)
  • Ключ реестра для выведения Emotet из строя – так называемая вакцина от Emotet:
PowerShell-скрипт EmoCrash, его задача – сканировать компьютер пользователя и генерировать специальный ключ реестра, который не даст Emotet спокойно работать:
71b0ea78e43452b3a2bff7abaa488e00.png
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Angara Technologies Group

Корпоративный блог компании Angara Technologies Group